Skip to content

Szele Tamás: A Kreml kiberveresége

Ukrajna ezzel a kibertámadással megszerezte a győzelem kulcsát. Csak legyen képes jól felhasználni.

Table of Contents

Érdekes idők következnek mostanság Oroszországban, kicsit szürreálisak és abszurdok, de hát ez arrafelé nem is olyan nagyon meglepő. Áll majd három proletár rongyos ingben, kifordított nadrágzsebekkel a Vörös téren, a dühöngő tömeg élén, és úgy hívják majd őket, hogy Gazprom, Szurgutnyeftyegaz és Rosszatom. Felemelt vasököllel tiltakoznak majd az adók ellen, pont ők, és mindenki velük fog tartani, még Minyin és Pozsárszkij szobra is.

A Kreml fokáról pedig Putyin néz majd le rájuk, három hű bojárja, Nariksin, Patrusev és Kirijenko társaságában, mellettük pörgeti bűvös füstölőjét Kirill pátriárka is, csempészett dohány parázslik abban tömjén helyett, hiszen Kirill is dohányon vett pátriárka (pontosabban: dohánycsempészetből és kereskedelmi koncessziós jogokból gazdagodott meg, lett az, aki most). De hogy jutunk el oda, hogy maga a burzsoázia vezesse a népet a forradalomba?

Kanyargós annak az útja, de a nagyját már sikerült megtenni. Lássuk tehát, mi történt az elmúlt napokban – felvonásról felvonásra.

Első felvonás: Támadás a Kyivstar ellen

Mint a WIRED magazin beszámol róla*, a magát Szolncepeknek nevező hackercsoport – amely korábban az orosz Sandworm (Homokféreg) nevű hírhedt hacker-egységgel állt kapcsolatban – azt állítja, hogy a Kyivstar, az egyik legnagyobb ukrán mobil- és internetszolgáltató ellen súlyos támadást hajtott végre.

Az orosz GRU katonai hírszerző ügynökségen belül működő, Sandworm néven ismert hackercsoport közel egy évtizeden keresztül a történelem legpusztítóbb kibertámadásait indította Ukrajna elektromos hálózatai, pénzügyi rendszere, médiája és kormányzati szervei ellen. A jelek most arra utalnak, hogy ugyanez a megszokott gyanúsított felelős az ország egyik fő mobilszolgáltatójának szabotálásáért, milliók kommunikációjának megszakításáért, és a főváros, Kijev légvédelmi riasztórendszerének ideiglenes szabotálásáért is.

Kedden kibertámadás érte a Kyivstart, Ukrajna egyik legnagyobb mobil- és internetszolgáltatóját. A támadás végrehajtásának részletei egyelőre nem tisztázottak. De „a vállalat technológiai hálózatának alapvető szolgáltatásait blokkolták” – olvasható az ukrán számítógépes vészhelyzetekre reagáló csoport, a CERT-UA által közzétett közleményben.

A Kyivstar vezérigazgatója, Olekszandr Komarov a Reuters szerint kedden az ukrán nemzeti televíziónak nyilatkozva elmondta, hogy a hacker-incidens „jelentősen károsította a Kyivstar infrastruktúráját és korlátozta a hozzáférést”.

„Virtuális szinten nem tudtunk ellene védekezni, ezért fizikailag állítottuk le a Kyivstar-t, hogy korlátozzuk az ellenség hozzáférését” – folytatta. „A háború a kibertérben is zajlik. Sajnos, ennek a háborúnak az eredménye minket is sújtott”.

Az ukrán kormány nyilvánosan még nem tulajdonította a kibertámadást egyetlen ismert hackercsoportnak sem – ahogy kiberbiztonsági cégek vagy kutatók sem. Kedden azonban a CERT-UA-t felügyelő SSSCIP számítógépes biztonsági ügynökség ukrán tisztviselője újságíróknak küldött üzenetében rámutatott, hogy egy Szolncepek nevű csoport vállalta magára a támadást egy Telegram-posztban, és megjegyezte, hogy a csoportot az orosz GRU hírhedt Sandworm egységével hozták kapcsolatba.

„Mi, a Szolncepek-hackerek, teljes felelősséget vállalunk a Kyivstar elleni kibertámadásért. Tönkretettünk 10 számítógépet, több mint 4 ezer szervert, az összes felhőalapú tároló- és mentési rendszert” – áll az orosz nyelvű üzenetben, amelyet Volodimir Zelenszkij ukrán elnöknek címeztek, és amelyet a csoport Telegram-fiókján tettek közzé. Az üzenet képernyőfotókat is tartalmaz, amelyeken látszólag a Kyivstar hálózatához való hozzáférés látható, bár ezt nem lehetett ellenőrizni. „Azért támadtuk meg a Kyivstar céget, mert a vállalat az ukrán fegyveres erők, valamint Ukrajna kormányszervei és bűnüldöző szervei számára biztosít kommunikációt. A többi ukrán fegyveres erőknek dolgozó szolgáltató is készüljön fel!”

A Szolncepeket korábban a Sandworm nevű hackercsoportnak, az orosz GRU moszkvai székhelyű 74455-ös egységének fedőszerveként használták – mondta John Hultquist, a Google tulajdonában lévő Mandiant kiberbiztonsági cég fenyegetések felderítéséért felelős vezetője, aki régóta nyomon követi a csoportot. Azt azonban nem volt hajlandó megmondani, hogy Szolncepek mely hálózati behatolásai kapcsolódtak a Sandwormhoz a múltban, ami arra utal, hogy néhány ilyen behatolás még nem nyilvános. „Ez egy csoport, amely olyan incidensekért vállalta a felelősséget, amelyekről tudjuk, hogy a Sandworm hajtotta végre” – mondta Hultquist, hozzátéve, hogy Szolncepek Telegram-posztja megerősíti korábbi gyanúját, hogy a Sandworm a felelős a történtekért. „Tekintettel arra, hogy következetesen az ilyen típusú tevékenységekre összpontosítanak, nehéz meglepődni azon, hogy egy újabb jelentős incidens kötődik hozzájuk.”

Ha Szolncepek a Sandworm fedőszervezete, ez távolról sem meglepő. Az ukrán infrastruktúrát támadó évek során a GRU egysége a legkülönfélébb álcákat használta, olyan hamis zászlók mögé bújva, mint a független hacktivista csoportok és a kiberbűnözői zsarolószoftver-bandák. Még Észak-Koreát is megpróbálta belekeverni a 2018-as téli olimpiai játékok elleni támadásba.

Ma a Kyivstar az X-en közzétett bejegyzésében cáfolta a Szolncepek néhány állítását, és azt írta, hogy „biztosítjuk ügyfeleinket, hogy a számítógépeink és szervereink megsemmisítéséről szóló pletykák egyszerűen hamisak.” A vállalat azt is írta a platformon, hogy reményei szerint szerdára helyreáll a hálózat működése, és hozzátette, hogy együttműködik az ukrán kormánnyal és a bűnüldöző szervekkel a támadás kivizsgálásában.

Bár a háború köde továbbra is elhomályosítja a Kyivstar-incidens pontos mértékét, már most is úgy tűnik, hogy ez az egyik legzavaróbb kibertámadás, amely azóta érte Ukrajnát, hogy Oroszország 2022 februárjában megkezdte teljes körű invázióját. Az azt követő évben Oroszország több adatromboló-törlő támadást indított az ukrán hálózatok ellen, mint amennyire a számítástechnika történetében eddig bárhol máshol a világon példa akadt, bár a legtöbbnek sokkal kisebb hatása volt, mint a Kyivstar-behatolásnak. Az elmúlt 20 hónapban Ukrajnát ért egyéb jelentős orosz kibertámadások közé tartozik az a kibertattak, amely országszerte és Európa más részein több ezer Viasat műholdas modemet tett tönkre, és amelyről most úgy vélik, hogy a GRU hajtotta végre. Egy másik kibertámadás, amelyet a Mandiant kifejezetten a Sandwormnak tulajdonít, éppen akkor okozott áramszünetet egy ukrán városban, amikor rakétacsapások érték, ami akadályozhatta a védelmi erőfeszítéseket.

Egyelőre nem világos, hogy a Kyivstar megtámadása – ha azt valóban egy orosz állam által támogatott hackercsoport hajtotta végre – csupán káoszt és zavart akart-e kelteni a vállalat ügyfelei körében, vagy pedig konkrétabb taktikai célja volt, például a Kyivstar hálózatán belüli hírszerzés álcázása, az ukrán katonai kommunikáció akadályozása vagy a polgári lakosságnak légitámadások idején szóló figyelmeztetések elnémítása.

Második felvonás: Válaszcsapás

Hanem az ukránokat nem olyan fából faragták, hogy szó nélkül zsebre vágjanak egy ilyen mértékű infrastrukturális támadást és mellé a fenyegetést is. Tegnapelőtti dátummal jelent meg a GUR, vagyis az ukrán katonai hírszerzés-elhárítás közleménye**.

Eszerint az ukrán védelmi hírszerzés kiberegységei újabb sikeres különleges műveletet hajtottak végre Oroszország ellen – ezúttal az agresszor állam adórendszerét támadták meg.

A különleges művelet során a katonai hírszerzőknek sikerült betörniük a Szövetségi Adóügyi Szolgálat egyik jól védett központi kulcsszerverére, majd annak több mint 2300 regionális szerverére Oroszország-szerte, valamint az ideiglenesen megszállt Krím területén.

A kibertámadás eredményeként valamennyi szerver rosszindulatú szoftverrel fertőződött meg.

Ugyanebben az időben az Office.ed-it.ru orosz informatikai céget, amely az orosz szövetségi adóügyi szolgálatot szolgálta ki, hasonló módon támadták meg.

A két kibertámadás következtében teljesen megsemmisültek azok a konfigurációs fájlok, amelyek évek óta biztosítják az Oroszországi Föderáció kiterjedt adórendszerének működését – megsemmisült a teljes adatbázis és annak biztonsági másolatai is.

Megbénult a kommunikáció a moszkvai központi hivatal és a 2300 orosz területi hivatal között, valamint az orosz szövetségi adóhivatal és az Office.ed-it.ru, az adóügyi adatközpont között.

Ez tulajdonképpen a terrorista Oroszország egyik legfontosabb állami szerver-infrastruktúrájának és számos kapcsolódó adózási adatnak a teljes megsemmisülését jelenti hosszú időre.

Az adózási adatok internetes forgalma az egész Oroszországra kiterjedően az ukrán katonai hírszerzés kezébe került.

Az oroszok négy egymást követő napja sikertelenül próbálják helyreállítani az adószolgálat működését. Szakértők szerint az orosz szövetségi adószolgálat megbénulása legalább egy hónapig fog tartani. Ugyanakkor lehetetlen teljesen újraéleszteni az agresszor állam adórendszerét.

Az ukrán védelmi hírszerzés kibertámadása újabb súlyos csapást mért a Kreml-rezsimre, amely egy időre elvesztette az adók és illetékek feletti ellenőrzést.

Nos, ezek szerint Oroszország több tízes nagyságrenddel nagyobb pofont kapott vissza, mint amekkorát ő adott – ennek részletes elemzése majd később következik, egyelőre annak járjunk utána, hogy mindez igaz-e?

Harmadik felvonás: Tényellenőrzés

Ami a Kyivstar elleni támadást illeti, az egészen bizonyosan igaz, hiszen nem csak ukrán források erősítik meg, hanem a nemzetközi szaksajtó is bizonyított tényként kezeli. Különben sem volna sok értelme Kijev számára egy nem létező támadást hazudni, aminek az ukrán rendszerek az áldozatai, arról nem is szólva, hogy ha nem lett volna incidens, a teljes orosz kormánymédia szavalókórusban kiabálna kígyót-békát a Kyivstarra, de ennek nyoma sincs. Nyugodjunk bele: a Szolncepek, vagyis a GRU valóban támadott.

De vajon a válaszcsapás megtörtént-e?

Erre csak közvetett bizonyítékaink vannak. Mindenki ismeri a kissé pikírt, de pontos újságíró-bölcsességet, miszerint: „Soha, semmit se higgyünk el, míg nem cáfolta meg a TASZSZ!” Az orosz adóhivatal elleni támadást nem a TASZSZ cáfolta tegnapelőtt, hanem a Kreml médiájának másik zászlóshajója, a RIA Novosztyi***, de az írásban semmi konkrétumot nem közölt az adóhivatal sajtószolgálata, csak tagadta a hírt és kész. Ilyenformán – a gyakorlat alapján – hitelesnek tekinthetjük az ukrán riposztról szóló nyilatkozatot is, mert ha nem történt volna meg, most tele lenne az incidens cáfolatával a teljes orosz média (és a fél nyugati is). Ezzel szemben csak egyetlen, nagyon kincstári közleményt látunk, másodközlések nélkül, mintha csak kerülni akarnák a feltűnést... meg hát, akár volt válaszcsapás, akár nem, mindenképpen tagadnák, csak ha nem lett volna, sokkal hangosabban tennék.

Elmondható tehát: mindkét hír igaz volt.

Negyedik felvonás és epilógus: Mindez mit jelent?

Minden túlzás nélkül elmondható, hogy habár a Kyivstar elleni támadás is komoly károkat okozott, a szövetségi adóhivatal megbénítása nagyobb orosz vereséget jelent, mintha Ukrajna elfoglalta volna Donyecket, Luhanszkot és ráadásul még Mariupolt is mellé. Nem véletlen, hogy az adóhivatali feljegyzések a rosszindulatú hackerek számára a legértékesebbek, ugyanis azokból nem csak annyi derül ki, hogy ki mennyit adózott, hanem az is, ki mennyit keresett, kit érdemes megtámadni, megzsarolni, és így tovább. Ezek az adatok most Ukrajna birtokában vannak és még a biztonsági másolataikat is sikerült törölni: ami azt jelenti, hogy a Kreml szó szerint adórendszer nélkül maradt, egy háború kellős közepén.

Nem tehet mást, újjá kell építenie a teljes adózási infrastruktúrát és újból be kell szednie az adókat. Mármost az adócsalás, adóelkerülés Oroszországban ősi, népi sport, ahogy Kelet-Európában mindenhol: aki már adózott, az nem fogja még egyszer befizetni, amit ráróttak, aki meg még nem tette meg – tekintettel arra, hogy az adatok elvesztek – azt fogja mondani, hogy ő már fizetett. Ezt a Kreml nem veheti tudomásul, így aztán behajtások következnek majd, vétkesektől és ártatlanoktól egyaránt.

A legnagyobb problémát nyilván a legnagyobb adózóknak okozza majd ez a helyzet: a nagyvállalatoknak, oligarcháknak, akiknek alapvetően sokat kell vagy kellett fizetni: ők veszítik a legtöbbet, de ha sikerül megúszni az adóbefizetést a helyzetet kihasználva, ők is nyerhetik a legnagyobb pénzt, hiszen egy évi adómentesség a tét!

Ezért nem elképzelhetetlen, hogy a Vörös téren a Gazprom, a Szurgutnyeftyegaz és a Roszatom vezeti majd az adók miatti tüntetéseket – az orosz átlagember pedig elég keveset keres, elég sokat adózik, ha még többre kényszerítik, tömegbázisban nem lesz hiány.

Könnyen összeomolhat az orosz gazdaság is, állami bevételek és megrendelések híján, hiszen gondoljunk bele: az Uralvagonzavod egyáltalán nem ingyen gyártja a harckocsikat, már amennyire még gyártja őket. Ha nincs állami pénz, nem lesz harckocsi, de egyéb belföldi gyártmányú fegyver sem és összeomlik a front.

Ukrajna ezzel a kibertámadással megszerezte a győzelem kulcsát.

Csak legyen képes jól felhasználni.

Oroszország pedig meg fogja tanulni, amit Montecuccoli már korábban megjegyzett, hogy ugyanis a háborúhoz három dolog szükséges: pénz, pénz és pénz.

Maximum a stratégiai aranytartalékhoz nyúlhatnak, de azt nagyon nehéz lesz tisztességes áron eladni a jelen viszonyok között – legfeljebb Kína veheti meg, féláron. Az orosz államcsőd és katonai vereség küszöbön áll, rögtön utána várható egy rendszerváltás is.

Mindez pedig annak a következménye, hogy a Kreml nem vette komolyan a kiberbiztonságot.

*Hacker Group Linked to Russian Military Claims Credit for Cyberattack on Ukrainian Telecom

**Hacking of Federal Tax Service of the russian federation ― Details of Another Cyber Operation of the Defence Intelligence of Ukraine

***ФНС опровергла информацию о взломе со стороны Украины

Latest

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

Palo Alto Networks released security updates for two actively exploited zero-day vulnerabilities in Palo Alto Networks PAN-OS. If exploited, these vulnerabilities could allow a remote unauthenticated attacker to gain administrator privileges, or a PAN-OS administrator to perform actions on the firewall with root privileges. It recommended applying the updates and

Members Public
Modern zsarolóvírusok

Modern zsarolóvírusok

A Magyar Védelmi Beszerzési Ügnynökséget az INC Ransom csoport támadta és zsarolta meg 2024. októberében. Az elmúlt időszakban megszaporodtak azok a magyarországi zsarolóvírus támadások, amelyek során az INC és a vele csaknem 71%-ban azonos Lynx zsarolóvírusokat használták a támadók.

Members Public